dumpcap 是 Wireshark 套件中的一個命令行工具���,用于捕獲網絡數據包�。以下是一些常用的 dumpcap 命令行參數:
基本參數
-i <interface>: 指定要捕獲數據包的網絡接口��。-w <file>: 將捕獲的數據包寫入指定的文件�����。-C <size>: 設置每個捕獲文件的最大大?����。ㄒ?MB 為單位)���。-G <seconds>: 設置捕獲文件的輪轉時間間隔(以秒為單位)�。-W <files>: 設置最大保留的捕獲文件數量�����。
高級參數
-b <snaplen>: 設置捕獲數據包的最大長度(以字節為單位)�����。-s <snaplen>: 同上����,設置捕獲數據包的最大長度(以字節為單位)�,但僅在較新版本的 dumpcap 中可用����。-e: 在每個捕獲的數據包中包含鏈路層頭部信息�����。-E <field>=<value>: 設置捕獲過濾器�。-f <expression>: 使用 BPF(Berkeley Packet Filter)語法指定捕獲過濾器��。-n: 不將地址和端口號轉換為名稱����。-N: 不解析協議名稱�����。-q: 安靜模式��,減少輸出信息�。-r <file>: 讀取并顯示指定文件中的捕獲數據包����。-t <ad-dec|ascii|ebcdic|ibm943|iso-8859-1|iso-8859-2|iso-8859-3|iso-8859-4|iso-8859-5|iso-8859-6|iso-8859-7|iso-8859-8|iso-8859-9|iso-8859-10|iso-8859-11|iso-8859-13|iso-8859-14|iso-8859-15|iso-8859-16|koi8-r|koi8-u|mac|windows-1250|windows-1251|windows-1252|windows-1253|windows-1254|windows-1255|windows-1256|windows-1257|windows-1258>: 設置時間戳格式��。-T <type>: 設置輸出格式(例如 pcap, json, csv 等)��。
示例
-
捕獲所有接口上的數據包并保存到文件:
dumpcap -i any -w capture.pcap
-
捕獲特定接口上的數據包并設置最大文件大小:
dumpcap -i eth0 -w capture.pcap -C 100
-
使用 BPF 過濾器捕獲特定類型的數據包:
dumpcap -i eth0 -w capture.pcap -f "tcp port 80"
-
讀取并顯示已保存的捕獲文件:
dumpcap -r capture.pcap
-
設置捕獲數據包的最大長度并輸出為 JSON 格式:
dumpcap -i eth0 -w capture.pcap -b 65535 -T json
請注意��,dumpcap 的參數可能會因版本不同而有所變化�����。建議查閱你所使用的 dumpcap 版本的手冊頁(通過 man dumpcap)以獲取最準確的信息����。
